
In der jüngsten Vergangenheit wurden einige Fälle vermeldet, in denen Amazons Cloud-Computing-Dienst als Plattform für erfolgreiche Angriffe gegen Sony genutzt wurde…tja, und heute habe ich entdeckt, dass Amazons Webdienste (Cloud) jetzt auch für die Verbreitung von Schadcode, der illegal Finanzdaten abfischt, missbraucht wird.
Alle Anzeichen weisen darauf hin, dass die hinter diesem Angriff stehenden Kriminellen in Brasilien sitzen und dass sie mehrere, im Vorfeld registrierte Konten verwendeten, um ihren Angriff zu fahren. Leider sind nach meiner offiziellen Beschwerde bei Amazon und nachdem ich mehr als 12 Stunden abgewartet habe, die schädlichen Links immer noch online und aktiv! Angemerkt werden sollte hierbei, dass eine wachsende Zahl von Cyberkriminellen legitime Cloud-Dienste für ihre betrügerischen Zwecke nutzt. In den meisten Fällen ist dieser Missbrauch von Erfolg gekrönt.
Jetzt aber zurück zu der von Amazons WS Cloud gehosteten Malware:
Dieser Schädling enthält ein ganzes Bündel verschiedener Schadcodes, die ausnahmslos auf den Opfercomputer gedroppt werden und sich unterschiedlich auswirken:
- Rootkit-Aktivitäten: Suche nach und Verweigerung einer regulären
Ausführung vier verschiedener Antivirenlösungen sowie einer speziellen Sicherheitsanwendung namens GBPluggin, die von vielen Banken in Brasilien für brasilianische Online-Bankgeschäfte genutzt wird
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgwdsvc.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgchsvx.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgtray.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgrsx.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgcsrvx.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSAgent.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10Identity ProtectionAgentBinAVGIDSMonitor.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG10avgnsx.exe DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastSvc.exe DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavscan.exe DeviceHarddiskVolume1Arquivos de programasAVGAVG8avgupd.exe DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast4VisthUpd.exe DeviceHarddiskVolume1Arquivos de programasAviraAntiVir Desktopavupgsvc.exe DeviceHarddiskVolume1Arquivos de programasAlwil SoftwareAvast5AvastUI.exe DeviceHarddiskVolume1Arquivos de programasESETESET NOD32 Antivirusupdater.dll DeviceHarddiskVolume1Arquivos de programasGbPlugingbpsv.exe DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehcef.dll DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.gmd DeviceHarddiskVolume1Arquivos de programasGbPlugincef.gpc DeviceHarddiskVolume1Arquivos de programasGbPlugingbieh.dll DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll DeviceHarddiskVolume1Arquivos de programasGbPluginbb.gpc DeviceHarddiskVolume1Arquivos de programasGbPlugingbpkm.sys DeviceHarddiskVolume1WINDOWSsystem32scpsssh2.dll DeviceHarddiskVolume1WINDOWSsystem32driversgbpkm.sys DeviceHarddiskVolume1WINDOWSDownloaded Program Filesscpsssh2.inf DeviceHarddiskVolume1WINDOWSDownloaded Program Filesabn.gpc DeviceHarddiskVolume1WINDOWSDownloaded Program Fileserma.inf DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbieh.gmd DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehabn.dll DeviceHarddiskVolume1WINDOWSDownloaded Program Filesgbiehuni.dll DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginABN.inf DeviceHarddiskVolume1WINDOWSDownloaded Program FilesGbPluginuni.inf DeviceHarddiskVolume1WINDOWSDownloaded Program Filesuni.gpc DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehuni.dll DeviceHarddiskVolume1Arquivos de programasGbPluginuni.gpc DeviceHarddiskVolume1Arquivos de programasScpadscpIBCfg.bin DeviceHarddiskVolume1Arquivos de programasScpadscpMIB.dll DeviceHarddiskVolume1Arquivos de programasScpadscpsssh2.dll DeviceHarddiskVolume1Arquivos de programasScpadsshib.dll DeviceHarddiskVolume1Arquivos de programasGbPlugingbiehscd.dll DeviceHarddiskVolume1Arquivos de programasGbPlugingbpdist.dll DeviceHarddiskVolume1Arquivos de programasGbPluginscd.gpc DeviceHarddiskVolume1Arquivos de programasGbPluginGbpSv.exe |
Banken!
Zertifikate.
(Festplattennummer), PC-Name, usw. (diese Daten werden von manchen lateinamerikanischen Banken während des Logins in die Bank verwendet, um Kunden zu authentifizieren)
Gmail-Konto eines Cyberkriminellen und via eines speziellen PHP-Scripts, mit dem die Daten in eine Remote-Datenbank eingefügt werden.
Software mit der Bezeichnung The Enigma Protector geschützt. Diese nutzten auch die Betrüger, um den Analysten ihren Reverse Engineering-Prozess zu erschweren.
Alle Samples wurden von KAV detektiert als:
1 2 3 4 5 6 |
Trojan-Downloader.Win32.Murlo.lib Trojan-PSW.Win32.MSNer.a Trojan-Banker.Win32.Banz.iok Trojan-Banker.Win32.Banker.blpm Trojan-Downloader.Win32.Homa.fgx Trojan-Banker.Win32.Banker.blbt |
Ich hoffe zudem, dass alle schädlichen Links schon bald von Amazon deaktiviert werden. Meiner Meinung nach werden legitime Cloud-Dienste weiterhin von den Cyberkriminellen für Cyberangriffe unterschiedlichster Natur genutzt werden. Cloud-Anbieter wären gut beraten, über effektivere Überwachungssysteme und die Aufstockung ihrer Sicherheitsteams nachzudenken, damit Malware-Angriffen, die durch ihren Dienst möglich gemacht und von diesem gestartet werden, einen Riegel vorzuschieben.
Finanzdatenstehlender Schädling jetzt auf Amazons Cloud-Webservice